要点(30秒で): 手元で動かしているClaude CodeやCodexを、新たなAPI鍵もクラウドも足さずに”脆弱性ハンター”へ変えるOSSが出た。攻撃力の高い道具である以上、まず読むべきは免許ではなく責任範囲——自分の資産か書面の許可がある対象にしか向けてはいけない。
この記事の内容(約8分で読めます)
セキュリティの世界で、また一つ物騒で面白いものが公開された。名前は「T3MP3ST」。GitHubでの説明はそっけなく、autonomous red teaming platform、多エージェントの攻撃的セキュリティ・メタハーネスとある。
要するに、あなたのマシンで今この瞬間も動いているAIコーディングエージェントを、そのまま”ゼロデイ猟師”に仕立てる仕掛けだ。作者は界隈では知らぬ者のいない人物で、そこが話をさらに濃くしている。
何をするものなのか
T3MP3ST自体はモデルを積んでいない。自前のLLMを持たず、あなたがすでにログイン済みのAIエージェント——Claude Code、Codex、Hermesなど——を”頭脳”として借り、その上に攻撃の段取りだけを敷く。
流れは古典的なキルチェーンをなぞる。偵察(recon)で的を洗い、脆弱性を突き(exploit)、最後に報告書へまとめる。操作はブラウザの「War Room」画面か、CLIから。的を指定すれば、あとは手元のエージェントが作戦の実働部隊になる。
つまりこれは、モデルではなく”段取り”の発明だ。近ごろ話題になった自分のハーネスを書いて磨くコーディングAIと同じで、賢さの置き場所が「モデル」から「モデルの動かし方」へ移っている流れの、攻撃側での現れと言っていい。

図1|「キーレス」設計の仕組み:手元のAIエージェントに相乗りし、その上に攻撃の“段取り”だけを敷く
「キーレス」という設計思想
最大の特徴は、作者がキーレスと呼ぶ発想にある。攻撃基盤といえば普通、専用のAPI鍵を握り、クラウドを借り、別立ての課金が走る。T3MP3ストはそれを全部いらないと言う。
すでに開いているエージェントのセッションに相乗りするからだ。鍵の管理も、新しい請求も発生しない。裏を返せば、Claude CodeのサブスクさえあればフルスペックのレッドチームがローカルPCに立ち上がる、ということでもある。参入の敷居がこれで一段下がった。
暴走を防ぐ縛りも一応ある。ネットワーク系の道具には”射程外”の公開ホストへは触れない封じ込めがかかり、危険度の高い後処理(post-ex)系のドライバーは人間の承認がないと動かない設計だという。

図2|8オペレーターの編成と“安定範囲”:ベンチで実証済みなのは偵察と単体攻撃だけ、下流は実験・構想段階
8人のオペレーターと35の武器
内部は8つの”オペレーター”に役割分担されている。Recon、Scanner、Exploiter、Infiltrator、Exfiltrator、Ghost、Coordinator、Analyst——偵察から侵入、痕跡消し、分析までを分業する編成だ。
ただし正直な話、今そろって動くわけではない。作者自身、ベンチマークで実証済みで安定なのは偵察エンジンと単体の攻撃ループだけで、下流のオペレーターは実験段階か構想中だと明記している。ここを誇張しない姿勢は、この手のツールでは珍しく信用が置ける。
武器庫(Arsenal)は既定で35本。nmap、nuclei、semgrep、ffuf、gobusterといった定番が最初から配線され、フル装備をオプトインすると83本まで増える。派手さより、実務で使う道具をきちんと束ねてある印象だ。

図3|ダビデ対ゴリアテ:鍵なしOSSが、7500万ドルの商用勢の土俵で叩き出した数字
数字は本物か——XBOWという巨人との比較
出してきた数字は威勢がいい。XBENという104問のブラックボックス課題で90.1%のpass@1、CTF系のCybenchで40問中23問をヒントなしで突破、学習データ後に公開された実在CVEでは10件中8件をファイル・行・脆弱性分類まで正確に当てた、と主張する。しかもnpm run verify-claimsで誰でも再計算できる形にしてある。
ここで効いてくるのが、ものさしに選んだXBENの出所だ。これはXBOWという会社の課題集で、当のXBOWはHackerOneのランキングで人間のハッカーを抜いて世界一位に立ち、7500万ドルを調達した商用の自律ペンテスターである。
つまりT3MP3ストは、巨額の資金を持つ商用プラットフォームの土俵で、鍵もクラウドも要らない一人のOSSが90.1%を叩き出したと言っている。ダビデとゴリアテの構図だ。数字の額面はまだ割り引いて見るべきだが、構図そのものが今のAIセキュリティの空気をよく映している。
誰が作ったのか
作者のelder-plinius——通称「Pliny the Liberator」は、ただのOSS開発者ではない。ChatGPTをはじめ主要LLMのガードレールを片っ端から破ってきた、界隈でもっとも著名なジェイルブレイカーの一人だ。新モデルが出れば当日中に破る、で名を売った人物である。
彼は透明性とオープンソースにこだわる白帽ハッカー集団も率いている。その人物が、防御ではなく”攻め”の自律ツールを、匿名の商用SaaSではなく誰でも読める形で世に放った。この出自を抜きにT3MP3ストは語れない。
光と影
もちろん、危うさは正面から居座っている。的を選ばないなら、これは強力な攻撃兵器そのものだ。作者もリポジトリも、自分の資産か明示的な書面の許可がある対象にしか向けるな、無許可の使用は多くの国で違法だと繰り返している。
とはいえ、AGPL-3.0で全部公開された道具に善意の免許は付いてこない。守る側の反論はいつも同じで、「攻撃者はどうせ作る、公開して防御を鍛えるほうがまし」。一理あるが、参入の敷居を下げるほど、悪用の敷居も同時に下がるのは避けられない。この綱引きに、きれいな答えはまだ無い。
日本・個人開発の視点
日本の開発者にとって、これは”使う道具”である前に”読む教材”だと思う。多エージェントで攻撃をどう分業し、射程外への暴走をどう縛り、性能主張をどう再現可能にするか——防御側の設計思想がそのまま裏焼きで学べる。
そして忘れてはいけないのは、AIが脆弱性を見つけすぎる時代に、もう入っているという事実だ。攻撃が自動化されるなら、報告書の山を捌く防御側の運用こそが次のボトルネックになる。
要点まとめ
- T3MP3ストは、手元のClaude Code/Codex等を借りて動く”鍵なし”の自律レッドチームOSS(作者はジェイルブレイカーのPliny)。
- 8オペレーターのキルチェーンを掲げるが、今安定なのは偵察と単体攻撃ループのみで、他は実験・構想段階と正直に明示。
- 武器庫は既定35本・フルで83本。nmapやsemgrep等の定番を束ね、危険な後処理は人間承認で制御。
- ベンチはXBOWの課題集で90.1%と主張し、
verify-claimsで再現可能に。巨額資金の商用勢にOSSが挑む構図。 - 攻撃力ゆえに、向けてよいのは自分の資産か書面許可のある対象だけ。夢と危うさが同居する。
🐦⬛ 編集部の視点
刺さるのは、性能そのものより「あなたのサブスクで攻撃基盤が立つ」という一点だ。攻撃の民主化は、ずっと”クラウドと予算”が最後の関所だった。それをキーレスで外してしまった意味は、数字より重い。
Plinyという人選も含めて、これは挑発でありデモンストレーションでもある。私たちが注目したいのは、この公開に対して防御側——OpenAIやAnthropic、そしてXBOWのような商用勢——がどう動くか。攻撃ツールが読める形で増えるほど、守る技術も透明でなければ勝てない。あなたなら、この道具、封じたい派? それとも全部オープンにすべき派?
出典・リンク
- 出典: https://github.com/elder-plinius/T3MP3ST
- T3MP3ST Security Framework With 35 Tools(CyberSecurityNews): https://cybersecuritynews.com/t3mp3st-security-framework/
- T3MP3ST Turns AI Coding Agents Into Autonomous Red-Teamers(digg): https://digg.com/tech/loqfca2j
- XBOW autonomous pentester、HackerOne世界一位(Hacker News): https://news.ycombinator.com/item?id=44367548
- XBOWが7500万ドル調達(Slashdot): https://it.slashdot.org/story/25/07/05/1847237/xbows-ai-powered-pentester-grabs-top-rank-on-hackerone-raises-75m-to-grow-platform
- Pliny the Liberatorへのインタビュー(VentureBeat): https://venturebeat.com/ai/an-interview-with-the-most-prolific-jailbreaker-of-chatgpt-and-other-leading-llms





コメントを残す